AntiVirus 板


LINE

剛剛才發生不久的事 最近伊莉的首頁被黑掉了 會隨機觸發一個頁面 大意是說你的Flash Player 是21版的 要你去點黃色按鈕下載新版的Flash Player安裝檔 (其實裡面的javascript是把這個21寫死的,現在的瀏覽器都是使用25版 就算用的是目前最新的25 他還是說你還在用21) 這個安裝檔案是被加料在重新打包過的 滑鼠移上去的小提示況顯示該檔案沒有Adobe的簽名 官方管道下載的有簽名 可以用7-zip去提取裡面的東西出來 額且他的惡意檔下載網址是放在github的 重新加料過的 名為install_flash_player_ax.exe 的惡意檔案是放在這個地方 https://github.com/flash-player-mirror/web/releases 如果最近有去到伊莉 暫時就不要去了 或是至少如果有看到那個 Flash Player的警告網頁 千萬不要點黃色的按鈕 以上大概是這樣 --
QR Code



※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.122.169
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1492970122.A.0B9.html ltyintw:轉錄至看板 ask 04/24 01:57 ※ 編輯: ltyintw (36.235.122.169), 04/24/2017 01:59:23 ※ 編輯: ltyintw (36.235.122.169), 04/24/2017 02:00:13 ※ 編輯: ltyintw (36.235.122.169), 04/24/2017 02:07:08
1F:推 abramtw: 感謝分享 所以預設關閉flash真的蠻重要的 04/24 07:46
2F:→ abramtw: 寧可等到非用不可的時候再去手動開啟 04/24 07:47
3F:→ jh961202: 是說github沒有檢舉機制?不知可否想辦法讓官方停權他 04/24 08:31
4F:推 jh961202: 找到檢舉管道了,已經寄信,不知道github會怎麼處理 04/24 08:35
5F:→ SCLPAL: 阿,所以昨天進不去是這樣嘛? 04/24 08:49
6F:→ SCLPAL: 我好像有跳過,不過我都習慣之後自己去關往更新就沒理 04/24 08:49
7F:→ a90648: 昨天有碰到,點下去後發現是執行檔而不是跳往adobe網頁 04/24 11:05
8F:→ a90648: 就沒點確定下載了,原來是被黑了@@ 04/24 11:05
9F:→ aa82732664: 還沒下載完,就取消了會不會中標阿QQ 04/24 11:19
被植入的要騙人去下載的頁面,偵測出來的21在javascript是寫死的 http://i.imgur.com/F4jxpfC.png
但是其實你已經安裝更新的 http://i.imgur.com/vhzPYg2.png
我下載下來用7-zip去嘗試猜測是不是壓縮檔來提取內容物 結果是正確的 http://i.imgur.com/AGCv38t.png
內容物有這些 第一個是真正的Adobe Flash Player 官方檔案,有簽名的 後面 二 三 四都是惡意檔 http://i.imgur.com/BtDWEcg.png
對比被重新加料包裝過的惡意安裝檔 http://i.imgur.com/bo4a67M.png
現在伊利目前可能採取先把網頁的程式碼全部清空 所以常常顯示空白網頁 或是網頁空白是被瀏覽器擋下來的 內心:當初想把被植入在首頁的那段 惡意javascript備份出來來分析行為,但是已經清除掉 沒備份到 算是伊利反應還蠻快的 ※ 編輯: ltyintw (36.235.122.169), 04/24/2017 12:12:54
10F:→ a90648: 沒有執行應該是還好 04/24 12:07
※ 編輯: ltyintw (36.235.122.169), 04/24/2017 12:15:18
11F:→ spyair: 太恐怖啦 04/24 12:52
12F:推 KevinYu0504: 感謝告知,給樓主一個推 04/24 12:54
13F:→ KevinYu0504: 目前威脅似乎已經移除了? 04/24 12:54
14F:→ ltyintw: 看看有沒有公告,至少我重新整理50次都不會跳出那個惡意 04/24 12:59
15F:→ ltyintw: 網頁,不過伊利還有很多地方會跑出空白網頁 04/24 13:00
16F:→ a90648: 知道這個惡意檔是哪種類型的嗎? 04/24 13:23
17F:→ gwofeng: 安裝木馬 04/24 13:52
18F:推 a3118: 裝了有解嗎? 04/24 14:15
19F:→ gwofeng: 很多防毒都掃的到了,BitDefender Avast Kaspersky 04/24 14:24
20F:→ gwofeng: 特徵是工作管理員可以看到powershell.exe常駐 04/24 14:39
21F:→ gwofeng: http://imgur.com/a/xkvNs 而且一直對外連線 04/24 14:39
22F:→ SCLPAL: 假如有中 就都是這個嘛?今天下班檢查一下好了 04/24 15:15
23F:→ ltyintw: 木馬嗎? 比較傳統的樣子 04/24 15:29
24F:→ gwofeng: https://goo.gl/ZeVsLU 好像就對外連線而已 看不太懂 04/24 15:45
25F:→ ltyintw: 可能是偷資料 或是回報給主控端該台電腦已成為肉雞 04/24 17:58
26F:→ ltyintw: 可以幫忙DDOS之類的,不過很訝異竟然不是勒索軟體 04/24 17:59
27F:→ gwofeng: 勒索病毒通常一發致命,騙使用者執行就贏了 04/24 18:09
28F:→ gwofeng: 木馬才需要不讓使用者察覺,所以有包真正的安裝檔進去 04/24 18:10
29F:→ teravideo: Flash player不是更新到25.0.0.148 04/24 20:02
30F:推 saca572381: 自從有一次電腦跳出來更新 按了後某些配菜被勒索 自 04/25 10:21
31F:→ saca572381: 此再也不相信這世界 04/25 10:21
32F:→ labbat: 樓上有創意 04/25 12:22
33F:→ ltyintw: 配菜? 04/25 12:38
34F:推 gravedigger: 請問一下中了只能重灌解決嗎 04/25 17:11
35F:→ ltyintw: 不一定 只能重灌解決, 但是要去分析他的躲藏手法跟死後 04/26 18:37
36F:→ ltyintw: 復活的手法會很累 而且有時候為了把自身植入系統時為了執 04/26 18:37
37F:→ ltyintw: 行的更徹底,會去改一堆有的沒的設定 04/26 18:37
38F:→ ltyintw: 所以在現今重灌幾乎不到20分鐘就可以完成的時代 .... 我 04/26 18:39
39F:→ ltyintw: 也會選擇重灌 或是自己準備的類似ghost的還原檔 04/26 18:39
40F:推 motokare: 推 謝謝分享! 04/26 21:59
41F:推 gravedigger: 以重灌 感謝 04/26 22:34
42F:推 chihippig: 我我我太晚看到了… 04/30 15:50
43F:推 osiutsaf8746: 樓上 我看到你po文才來關注的... 05/01 02:18
44F:推 nekoOAO: 推 感謝提醒! 05/01 14:00
45F:推 xo6u83zj: 原來我也是這樣中獎的,感謝提醒,雖然太晚了QQ 05/01 20:16
46F:推 frank161616: 去逛了一下沒看到這頁ㄟ@@ 隨機出現? 05/01 21:06
47F:推 hung097: 我好像是因為按了這個之後才中最新這一波的綁架... 05/03 14:01
48F:→ dfltnufa: Chrome不是一直都內鍵最新Flash或不再執行Flash…理論 05/03 22:55
49F:→ dfltnufa: 上秀出這訊息,就是有鬼了吧?! 05/03 22:55
50F:推 SalivaLpaca: QQ 05/04 21:17
51F:推 msnobody: 來不及了QQ 05/04 22:59
52F:推 Winston0707: QQ 受害者+1 05/06 16:47
53F:推 oioio9887: 有逛但沒按沒下載會中毒嗎?QQ 05/06 19:08







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:BuyTogether站內搜尋

TOP